فیلیپ تورچینسکی:عصر بخیر امروز من زیاد در مورد Open Solaris صحبت نمی کنم، اگرچه معمولاً در مورد آن صحبت می کنم.

امروز ما در مورد اینکه چگونه و چرا می توانید از سرویس های جایگزین خاص دایرکتوری استفاده کنید صحبت خواهیم کرد اکتیو دایرکتوریدر یونیکس به بیان دقیق، اینها دقیقاً جایگزینی برای AD نخواهند بود. اما من یک بار دیگر نظر خود را در مورد اینکه وضعیت در آینده چگونه پیش خواهد رفت، در چه جهتی بیان خواهم کرد. من کمی در مورد نحوه پیکربندی راه حل هایی که در آینده محبوب خواهند بود به شما خواهم گفت - دوباره به نظر من. این گزارش شامل یک قطعه جداگانه در مورد مدیر هویت است.

به عنوان یک قاعده، من در مورد چیزهایی صحبت می کنم که با دست خودم تنظیم کرده ام و می توانم همه چیز را در مورد آنها بگویم. امروز کمی متفاوت خواهد بود. من در مورد مفهوم صحبت خواهم کرد و به آنچه که خودم راه اندازی کردم اشاره خواهم کرد. من خیلی از این سرویس استفاده کردم من می توانم به شما بگویم که از نظر کاربر چگونه به نظر می رسد و چه چیزی می تواند خوب یا بد باشد.

یکی از وظایف اصلی هر طراح هر سیستمی این است که از موقعیتی که در آن ما با استفاده از برخی موارد بسیار زیاد استفاده کنیم، اجتناب کند ابزار قدرتمندبیا یه کار قشنگ بکنیم کار ساده. اگرچه این دقیقاً همان چیزی است که در زندگی اتفاق می افتد.

مطمئناً بسیاری از شما مجموعه ای از متون ابتدایی را مشاهده کرده اید، به عنوان مثال، در مایکروسافت وردیا در OpenOffice Writer. در اصل، این متون ارزش تایپ در یک پایانه متنی، در Notepad یا هر چیزی معادل آن را دارند. اما این متون آنقدر خوش شانس هستند که در ویرایشگرهای بسیار قدرتمندی تایپ می شوند.

من در واقع اغلب به این موضوع فکر می کنم. از آنجایی که ما اینجا با افرادی هستیم که در این دنیا تفاوت ایجاد می کنند، امیدوارم با هم بتوانیم وضعیت را به وضعیتی برسانیم که مشتریان، کارمندان ما و همه افراد مرتبط با ما زمان و منابع کمتری را صرف انجام کارهای ساده با استفاده از کارهای پیچیده کنند. به معنای.

اکنون می خواهم کلاه خود را برای توسعه دهندگان شرکت مایکروسافت بردارم. من و همکارانم موافق بودیم که در کل Active Directory چیز خوبی است. خوب است که این راه حل وجود دارد، واقعاً می توانید از آن استفاده کنید. نکته دیگر این است که سرویس دایرکتوری اکتیو دایرکتوری اغلب در مکان هایی استفاده می شود که بدون آن بدتر از این نیست.

چه چیزی در مورد Active Directory خوب است؟ اون به چه دردی میخوره؟

اول از همه، Active Directory برای مدیریت کاربران (گروه ها، نقش های کاربری و غیره) مناسب است. به طور دقیق، راه حل اکتیو دایرکتوری مستقیماً به این موضوع مرتبط است، اما وسیله ای برای اطمینان از این موضوع نیست. سرویس دایرکتوری Active Directory به شما امکان دسترسی به شبکه را از رایانه های مختلف می دهد و عملکرد پروفایل های رومینگ را فراهم می کند.

این پروفایل ها برای 2 سال سردرد من شد. من رئیس بخش فناوری اطلاعات شرکتی بودم که تمام دفاتر در سراسر کشور از همین پروفایل های رومینگ استفاده می کردند. آنها می توانند 2 یا 3 گیگابایت اندازه داشته باشند و به طور معجزه آسایی از دفتر سن پترزبورگ تا دفتر مسکو کشیده شوند، زیرا کارمند در یک سفر کاری به اینجا آمد و تصمیم گرفت کار کند.

این فقط یک نمونه معمولی از استفاده ناکارآمد از یک مفهوم خوب است که در آن به طرز وحشتناکی ناخوشایند است.

علاوه بر این، Active Directory به طور طبیعی برای کنترل دسترسی استفاده می شود، زیرا می گوید چه کسی می تواند کجا برود. اکتیو دایرکتوری همچنین در سیستم هایی که شبکه ناهمگن است به طور گسترده استفاده می شود. در این مورد، ما دسترسی از طریق PAM، احراز هویت، دسترسی از طریق اکتیو دایرکتوری را به برخی منابعی که به صورت فیزیکی بر روی کامپیوترهایی که به هیچ وجه به اکتیو دایرکتوری متصل نیستند قرار دارند، پیکربندی می کنیم. به عنوان مثال، ما در حال اجرا تحت سرور لینوکس، که باید چند فایل را روی آن قرار دهید. طبیعتاً می توانید از Active Directory برای احراز هویت وب استفاده کنید.

یک چیز دیگر هم هست که امروز به تفصیل به آن نمی پردازم. من فقط می گویم که این کار با استفاده از Active Directory انجام می شود. من می توانم حدس بزنم که چگونه می توان این را برای برنامه های یونیکس در سیستم های یونیکس پیاده سازی کرد، اما این ربطی به موضوع گزارش ندارد.

اینها اصطلاحاً سیاست های گروهی و به ویژه مدیریت برنامه هستند که در آنها می توانیم "رفتار" برنامه های خاص را برای گروه ها یا کاربران مختلف به طور متفاوتی پیکربندی کنیم.

این مورد در عملکردی که امروز در مورد آن صحبت خواهم کرد تا آنجا که من می دانم به هیچ وجه اجرا نشده است. این کار باید یا به وسیله دیگری انجام شود یا با افزودن چیز دیگری به ابزار موجود.

به طور کلی، کامپیوترها برای چه مواردی استفاده می شوند (خواه یونیکس یا نه)؟ اهداف زیادی وجود دارد، اما برای هر گروه از وظایف، راحت ترین پروتکل وجود دارد. ما پروتکل SSH را داریم - این پروتکل برای همکاران من اختراع شد مدیران سیستم. واضح است که مردم عادی به سختی به آن نیاز دارند.

پروتکل های FTP و HTTP تقریباً برای همه کسانی که تا به حال چیزی در هاست آپلود کرده اند مورد نیاز هستند.

طبیعتاً همه به نامه نیاز دارند. وقتی مثلاً مقداری برای خودم تنظیم کردم سیستم جدیدبه یک رایانه یا من یک LiveCD راه اندازی می کنم و هیچ نامه کاری را در آنجا نمی بینم، این قبلاً من را آزار می دهد. اگر چه پنج سال پیش من از این تعجب نمی کردم. تلفن همراهی که نمی تواند ایمیل بخواند فقط نوعی شرم است. اگرچه از تلفن منزلبه عنوان یک قاعده، ما این انتظار را نداریم.

قابلیت دیگری که به طور معمول در هر شرکتی که تعداد افراد آن بیش از دو نفر باشد مورد نیاز است. این توانایی استفاده از همان محیط کاری است کامپیوترهای مختلف. این مورد در همه جا لازم است - از گزینه های کتاب درسی مانند گروهی از اپراتورها که در یک بانک یا در یک مرکز تلفن نشسته اند (این دومی می تواند تا 400 نفر پشت سر هم باشد) و با گزینه های کمتر رایج پایان می یابد - مانند مدیریت دانشگاه، که در آن کارکنان از یک بدن به بدن دیگر حرکت می کنند. همه این افراد باید یک محیط دسکتاپ روی هر کامپیوتری داشته باشند.

من اکنون در مورد ابزارهای تضمین این محیط کاری به شما خواهم گفت. این قسمت از گزارش هیچ ارتباطی با آنالوگ های Active Directory ندارد. در عوض، این نوعی راه حل است که به شما امکان می دهد آنچه را که اغلب با استفاده از Active Directory انجام می شود پیاده سازی کنید، اما سیستم را به شدت بارگذاری نمی کند. این یک راه حل بسیار ساده است. به احتمال زیاد، بسیاری از شما قبلاً از آن استفاده کرده اید، یا حداقل آن را دیده اید، یا حتی آن را فروخته اید - من نمی دانم.

یک چیز قدیمی به عنوان ترمینال وجود دارد. آنها حتی قبل از سال 1969 نیز وجود داشتند. در سال 1969، زمانی که یونیکس اختراع شد، ترمینال ها از قبل وجود داشتند. جای تعجب نیست که همه چیز از پایانه ها به خوبی کار می کند. یک نسخه مدرن از ترمینال همان چیزی است که، برای مثال، شرکت Sun آن را Sun Ray نامیده است. اکنون هنوز Sun Ray نامیده می شود، اما توسط Oracle تولید می شود.

این سخت افزار از یک X-Terminal با یک پورت اینترنت و یک پورت USB تشکیل شده است. خروجی و ورودی صدا نیز وجود دارد. می توانید هدفون را وصل کنید، به موسیقی مورد علاقه خود گوش دهید، می توانید فلش درایو را روشن کنید - همه چیز عالی کار خواهد کرد. به علاوه، می تواند کارت های هوشمند را نیز بخواند، بنابراین می توانید با استفاده از کارت های هوشمند احراز هویت را انجام دهید.

علاوه بر Sun Ray، محصول دیگری (نامش را به خاطر ندارم) وجود دارد که بخشی از خانواده زیرساخت دسکتاپ مجازی است.

این چنین پرتو خورشیدی مجازی است. هنگامی که به رئیس خود می آیید و می گویید: "گوش کن، این مورد است، پیوتر پتروویچ، ما باید گروه خود را منتقل کنیم. پشتیبانی فنیبه ترمینال‌ها، زیرا به جای پاسخ دادن سریع به سؤالات، بازی Solitaire را در مورد آنچه در آنجا دارند بازی می‌کنند.» یا: "ما از تعمیر منابع تغذیه آنها خسته شده ایم زیرا هر هفته خراب می شوند زیرا نمی توانیم کولر گازی را تعمیر کنیم."

این طبیعتا باعث خوشحالی پیوتر پتروویچ نمیشه چون تجهیزات باید عوض بشه، انگار تجهیزات اخیرا خریداری شده... کامپیوتر باید پنج سال دوام بیاره تا رد بشه وگرنه برای حسابداری خوب نیست. .

می توانید به جای فناوری از اشعه های خورشیدی مجازی استفاده کنید. ایستگاه های کاری مجازی را نصب کنید. راه حل روی سیستم موجود کار می کند و "تظاهر می کند" که مانند یک ترمینال است.

کارمان با پایانه ها تمام شد. حال بیایید ببینیم که چگونه کار می کند و چرا ممکن است به سیستمی نیاز داشته باشیم که به نوعی آنالوگ Active Directory باشد. بار دیگر تأکید می کنم که آنالوگ عملکردی دقیق نیست.

سرورهای کاربردی

Glassfish یک سرور برنامه استاندارد است که به طور کلی شبیه Tomcat است، اما بر خلاف آن، می تواند نقش نه تنها یک کانتینر وب، بلکه یک کانتینر JB (که Enterprise Java ...) را نیز ایفا کند. به هر حال، آنچه قبلاً به سادگی Glassfish نامیده می شد، اکنون Oracle Glassfish Server نامیده می شود.

به عنوان مثال، می تواند بر روی Oracle Solaris اجرا شود. در Open Solaris برای من کار می کند.

این سرور برنامه به شما امکان می دهد تا انواع گسترده ای از برنامه های کاربردی وب از جمله Liferay را مستقر کنید. من امروز زیاد در مورد او صحبت نمی کنم. برای کسانی از شما که هنوز از وجود آن اطلاعی ندارید، توصیه من این است که توجه کنند. این چیزهای باحالی است من تصور می‌کنم که در آینده نسبتاً نزدیک این موارد به‌طور قابل‌توجهی بیشتر از اکنون خواهد بود.

من فکر می کنم که پس از مدتی - ظرف یک یا دو سال - میزبان جاوا احتمالاً در روسیه ظاهر می شود (آنها قبلاً در خارج از کشور وجود دارند). Liferay یک پلت فرم نسبتاً مناسب برای ساخت هر نوع وب سایتی است. اصولاً در لایف ری یک وب سایت - ساده، 5 صفحه، با محتوا، با عکس، با حداقل طراحی - در حدود نیم ساعت ساختم.

همچنین یک پیاده سازی از همان پورتال به نام WebSpace وجود دارد. این تقریباً بر اساس همان کد است، اما در داخل Sun ساخته شده است. Liferay یک محصول اجتماعی است که ارتباط کمی با Sun دارد - Sun پول یا تلاش بسیار کمی برای ایجاد آن انجام داده است.

این یک نمونه سرور برنامه بود.

حالا بیایید ببینیم پشت سرور برنامه چه چیزی وجود دارد. پشت سرور برنامه چیزی است که به ما امکان می‌دهد به آن سرور برنامه احراز هویت کنیم و همچنین به آن سرور و برنامه‌های در حال اجرا روی آن اجازه می‌دهد تا حقوق دسترسی ما به اشیاء مختلف را تعیین کنند.

اینها عبارتند از Identity Manager، Directory Server و Access Manager. در اصل، ممکن است اجزای بیشتری وجود داشته باشد که احراز هویت و کنترل دسترسی به برخی منابع وب را فراهم می کند، اما این جالب ترین است.

برای راحت کردن مردم، ارائه دسترسی متمرکز، ترکیب منابع وب به صورت منطقی (به عنوان یک قاعده) یا سازمانی، مالی کاملاً طبیعی است. لازم است که مردم این فرصت را داشته باشند که به یک منبع وب بروند و به طور خودکار به سایر منابع دسترسی پیدا کنند. برای انجام این کار، آنها به یک چیز معروف به نام تکنولوژی single sign-on (SSO, Single Sign On) رسیدند. پس از ورود به سیستم، همه چیز کار می کند. دیگر لازم نیست وارد شوید.

این شبیه چیزی است که ما به آن عادت کرده ایم، برای مثال سیستم های ویندوزکلاینت و سرور ویندوز، زمانی که یک بار وارد سیستم شدیم، همه فایل ها را مرور می کنیم.

یک سوال منطقی مطرح می شود: چند وقت یکبار باید در میان پرونده ها "راه برویم"؟ از تمرین گروهی که در 3 سال گذشته (حتی بیشتر) در آن کار کرده ام، می بینم که در واقع "راه رفتن" در میان فایل ها و ذخیره فایل ها در پوشه ها اغلب مورد نیاز نیست. من لپ تاپ خودم را دارم که همه چیز مورد نیازم را دارد. همه چیزهایی که گروه های ما در بین خود به اشتراک می گذارند در ویکی مشترک قرار دارد.

وجود داشته باشد انواع مختلفپیاده سازی ویکی این می تواند یک موتور رایگان به نام TWiki باشد. راه حل های بسیار بیشتری وجود دارد که به همان روش کار می کنند. عملکرد زیادی دارد میزبانی رایگان، جایی که می توانید مثلاً برخی از پروژه ها را پست کنید - در آنجا ویکی به صورت رایگان به عنوان یک عنصر مدیریت پروژه ارائه می شود.

این یک چیز بسیار محبوب است. بنابراین، به ویژه، زمانی که به این فکر می کنید که چه نوع زیرساختی در شرکت خود ایجاد کنید، گزینه زمانی است که شما یک سرور فایل ندارید، اما یک منبع وب خاص دارید که همه فایل ها را آپلود می کنند و از آنجا نیز می گیرند (در مطابق با مقامات تعیین شده آنها)، یک طرح کاملاً منطقی است. علاوه بر این، موضوع انتقال منابع به وب بیشتر و بیشتر مطرح می شود.

به هر حال، من یک درخواست بزرگ از توسعه دهندگان محصولات 1C داشتم: ما نیاز فوری به چنین چیزی به نام حسابداری مبتنی بر وب داریم. دلم براش خیلی تنگ شده

حالا بیایید به فناوری single sign-on برگردیم. راحت است مطمئن شوید که دو گزینه برای دسترسی مشتری به سرور ورود به سیستم واحد وجود دارد.

اولین گزینه زمانی است که به یک منبع وب خاص دسترسی پیدا می کنیم، به عنوان مثال، در حال اجرا بر روی همان Glassfish. این به سادگی یک برنامه جاوا است که یک ورود به سیستم (احراز هویت و پیگیری) را فراهم می کند. به PAM روی می‌آورد که اطلاعات را از منابع احراز هویت معمولی «کشش» می‌کند.

اگر گزینه معکوس وجود داشته باشد خوب است: ما با PAM تماس می گیریم و او با سرور ورود به سیستم تماس می گیرد و موفق می شود چیزی از او بپرسد.

گزینه دوم، متاسفانه، هنوز اجرا نشده است - حداقل من اجرای آن را ندیده ام. گزینه اول اجرا شده است، حتی آن را امتحان کردم. سعی می کنم نحوه اجرای آن را توضیح دهم.

در فوریه سال جاری، ForgeRock تصمیم گرفت که پروژه OpenSSO را "جعل" کند، زیرا همانطور که می دانید اوراکل به طور رسمی خرید Sun خود را در ماه فوریه به پایان رساند.

از دیدگاه ForgeRock، جالب است که کد OpenSSO پروژه را از مخزن بیرون بکشید و سپس کاری با آن انجام دهید (همانطور که مجوز اجازه می دهد). عالی. تاکنون هیچ مدرکی مبنی بر اینکه اوراکل با OpenSSO کار بدی انجام دهد وجود ندارد. علاوه بر این، شواهدی وجود دارد که او خوب خواهد بود.

چرا توصیه میکنم OpenAM که همون اسمبلی هست رو فقط از ForgeRock دانلود کنم؟ زیرا وب سایت ForgeRock بهترین توضیحات را در مورد نحوه نصب آن دارد. من بهترین توضیحات را در مورد نحوه نصب OpenSSO در آنجا دیدم.

حالا باید Glassfish را نصب کنید. در Open Solaris، هنگام باز کردن بسته بندی، باید کادر "نصب Glassfish" را علامت بزنید - نصب خواهد شد. شما به سادگی می توانید Glassfish را دانلود کرده و نصب کننده را اجرا کنید.

در مرحله بعد باید daemon amunixd را راه اندازی کنید و سیستم می تواند از قبل استفاده شود. OpenSSO از طریق PAM کار خواهد کرد. شما نمی دانید که آیا به این نیاز دارید یا خیر - شاید به چیز دیگری نیاز داشته باشید. اما اگر برای کار از طریق PAM به همه چیز نیاز دارید، این کار همانطور که توضیح دادم انجام می شود.

من به شما گفتم که چگونه Glassfish را به طور صحیح و سریع در OpenSolaris نصب کنید. به طور دقیق تر، نحوه بیان آن روشن است. جالب تر این است که چگونه یک دامنه راه اندازی کنیم.

اجازه دهید به طور خلاصه توضیح دهم که دامنه در رابطه با Glassfish چیست. ما یک سرور برنامه داریم و می خواهیم برنامه ای را روی آن مستقر کنیم. این برنامه را نمی توان در خلاء مستقر کرد. او باید نوعی پوسته ایجاد کند که در آن تمام فایل های مرتبط با او و برخی تنظیمات نوشته شود. در داخل این پوسته، برخی از اجزای برنامه اضافی مستقر خواهند شد و غیره.

به این چیز می گویند دامنه. ربطی به دامنه به معنای something.ru ندارد. این ربطی به دامنه های اینترنتی ندارد. این به سادگی نامی برای مجموعه ای از اجزای ترکیبی و به هم پیوسته است. اساساً دامنه مقداری خواهد داشت نام دامنه(از نقطه نظر دامنه اینترنت)، اما بعداً می آید. در صورت لزوم می توانید آن را پیکربندی کنید.

اکنون به مهمترین نکته می رسد. هنگام تنظیم یک ورود به سیستم، باید یک نام دامنه کاملا واجد شرایط را مشخص کنید.

در واقع، دستورالعمل‌های ForgeRock با حروف بزرگ روی یک پس‌زمینه زرد می‌گویند: «FQDN را در فایل /etc/hosts بنویسید». اگر این کار انجام نشود، یک خطای مبهم پرتاب می شود. نتیجه یک تشخیص عجیب خواهد بود. چه چیزی اشتباه است کاملاً نامشخص خواهد بود.

می گوید که شما نمی توانید به پورت 80 دسترسی پیدا کنید. چرا نمی توانید؟ ناشناخته. نکته مهم. هنگام تنظیم این پیکربندی، مطمئن شوید که نام کاملاً واجد شرایط هاست خود را در فایل /etc/hosts قرار دهید.

به آدرس بروید، وارد شوید (به طور پیش فرض نام مدیر amadmin است)، گزینه Authorization->Unix را انتخاب کنید. در صورت نیاز می توانید سایر گزینه های مجوز را انتخاب کنید. اما در یونیکس همه چیز به ترتیب از طریق PAM کار خواهد کرد.

چرا به Identity Manager نیاز دارید و چیست؟

Identity Manager از Oracle "می داند که چگونه" با یک دسته از منابع مختلف اطلاعات کار کند. علاوه بر این ، در یک منبع اطلاعاتی یک شیء خاص ایوان پتروویچ نامیده می شود ، در دیگری او وانیا است ، در منبع سوم او ایوان است. این منابع اطلاعات چیز دیگری در مورد او می گویند.

چه چیزی مهم است؟ اینکه این منابع اطلاعاتی نیازی به داشتن اطلاعاتی مانند کلید اولیه ندارند. هیچ شناسه منحصر به فردی وجود ندارد که در هر یک از این منابع نهفته باشد. به سادگی با کمک ابزارهای مدیریت Identity Manager می توانید راه های مختلفرکوردهای مختلف را از منابع مختلف اطلاعات به هم پیوند دهید.

به علاوه، Identity Manager همگام سازی را فراهم می کند. اگر مثلاً شخصی از کارش اخراج شود، او حساباز لیست کارمندان یا از لیست دیگری - به عنوان مثال، بدهکاران یا طلبکاران سازمان حذف می شود. به طور کلی، ورودی از تمام منابع اطلاعاتی موجود حذف می شود.

بر این اساس، اگر تغییری رخ دهد، به عنوان مثال، برخی از فیلدها تغییر کنند، در صورت وجود این فیلدها، این نیز بین منابع مختلف اطلاعات هماهنگ می شود.

اوراکل به عنوان یک پروژه استراتژیک، Oracle Identity Manager را که قبلا وجود داشت، حفظ کرد. پروژه ای که Sun Identity Manager نام داشت نیز باقی مانده است. وجود خواهد داشت، اما محصول اصلی که اوراکل می فروشد، Oracle Identity Manager خواهد بود.

Identity Manager در واقع چیزی است که هزینه‌های قابل توجهی دارد. من می دانم که مشتریان مختلف Sun و Oracle در روسیه واقعاً آن را می خرند.

همچنین موجودی به نام Directory Server وجود دارد که کمی پیشتر در مورد آن صحبت کردیم. این به سادگی یکی از گزینه های منبع اطلاعات برای Identity Manager است. به عنوان یک قاعده، این یک سرور LDAP معمولی است. یک محصول خاص وجود دارد، به نام OpenDS، که Oracle قول پشتیبانی از آن را داده است. این به سادگی یک سرور LDAP است که در جاوا نوشته شده است.

استفاده از آن راحت است. اگر نمی خواهید چیز اضافی جمع آوری کنید، فقط می توانید این OpenDS را بردارید و آن را روی همان Glassfish مستقر کنید.

من در مورد تعامل بین مشتری، سرور برنامه، مدیریت دسترسی و مدیریت هویت به شما خواهم گفت.

یک کلاینت وجود دارد که درخواست دسترسی به یک فایل را می کند، به عنوان مثال، از یک سرور برنامه کاربردی DEP با یک رابط وب به نام کانتینر وب. حق دسترسی اشتباه برای فایل تعریف شده است. سرور برنامه از برنامه Access Manager می پرسد که آیا می تواند به این فایل دسترسی داشته باشد.

Access Manager به Identity Manager می‌گوید: "ما با هویت چنین رفیقی چه داریم؟" این اطلاعات به او بازگردانده می شود که دوستش نقش سوپر ادمین را در سیستم دارد. Access Manager می گوید: "شما می توانید این کار را انجام دهید." اطلاعات به سرور برنامه ارسال می شود، به عنوان مثال، Glassfish: "بله، شما می توانید." پرونده صادر می شود.

احتمالاً می‌دانید که در nsswitch.conf، در سیستم‌هایی که آن را دارند، مانند Debian و OpenSolaris، می‌توانید کلمه ldap را در جایی بنویسید که مشخص می‌شود اطلاعات احراز هویت را از کجا دریافت کنید. اطلاعاتی در مورد نحوه تنظیم این مورد در opennet وجود دارد که افزودن ضروری به طرح LDAP را توضیح می دهد.

این مهمترین چیز است - اگر ما آن را خیلی سخت نکنیم تا چیزی متفاوت به نظر برسیم، آینده چگونه خواهد بود. گزینه یک چیزی است که من واقعاً امیدوارم همه خدمات دولتی باید به آن تغییر کنند، اکنون از پنجره به من می‌گویند: «متأسفم، ما نمی‌توانیم کاری انجام دهیم. رایانه ما یخ زده است و مدیر سیستم فردا می آید. البته در چنین مکان هایی باید ترمینال هایی را نصب کنید تا یک سرور وجود داشته باشد که مدیر سیستم همیشه در آن حضور داشته باشد.

علاوه بر این، بدیهی است که هنگام کار با CAD، موقعیت هایی وجود دارد که باید یک سرور و برخی از ایستگاه های کاری ایجاد کنید، و در آن برنامه ها با هر کلاینت (به عنوان مثال، با تلفن های همراه) برای هر چیز دیگری.

از اطلاعاتی که 1C: حسابداری قبلاً آنچه را که من از دست داده بودم انجام داده است بسیار سپاسگزارم.

متشکرم! فکر می کنم 30 ثانیه فرصت دارم تا به سوالات پاسخ دهم.

پرسش و پاسخ

بسیاری بر این باورند که امروزه یک آنالوگ یکپارچه کامل از MS Active Directory و همچنین Group Policy هنوز در دنیای گنو/لینوکس وجود ندارد. با این حال، توسعه دهندگان از سراسر جهان تلاش می کنند تا فناوری های مشابه را در سیستم های یونیکس پیاده سازی کنند. یک مثال قابل توجه eDirectory از Novell است که در ادامه به بررسی ویژگی های آن خواهیم پرداخت.

جالب اینجاست که پشتیبانی از Group Policies در Samba 4 اجرا شد و پس از آن ابزارهای موثر برای تنظیم خط مشی های گروه شروع به توسعه کردند. با این حال، قبلاً اکثر مدیران سیستم مجبور بودند خود را به اسکریپت های ورود یا خط مشی های سیستم NT4 محدود کنند.

Samba4 به شما اجازه می دهد به چه چیزی برسید؟ امروزه بسیاری از مردم استفاده از این راه حل را به عنوان AD، یعنی کنترل کننده دامنه در ارتباط با سرورهای فایل، بر اساس همین تصمیم. در نتیجه، کاربر حداقل چند سرور پیکربندی شده را با Samba4 دریافت می کند که یکی از آنها به عنوان کنترل کننده دامنه و دومی به عنوان یک سرور عضو با فایل های کاربر عمل می کند.

امروزه مشکلات مربوط به نگهداری و ثبت نام کاربران شبکه در شبکه های همتا به همتا توسط چندین شرکت پیشرو تولید کننده نرم افزار مدرن با مسئولیت پذیری حل می شود. محبوب‌ترین توسعه‌دهندگان امروز مایکروسافت با Active Directory که قبلاً ذکر شد و Novell با eDirectory است که در ابتدای این مقاله نیز به آن اشاره شد.

راه حل مشکلات فوق در این مورد در ایجاد سرویس های فهرست نویسی یا پایگاه داده نهفته است که به شما امکان می دهد اطلاعات را در یک ذخیره سازی ثابت در مورد تمام حساب های کاربری ذخیره کنید و همچنین می تواند کنترل شبکه ها را به میزان قابل توجهی تسهیل کند.

فناوری های فوق و سایر فناوری ها را برای سازماندهی کار با شبکه های کاربر در زمینه مزایا و ویژگی های آنها در نظر بگیرید.

اکتیو دایرکتوری - ویژگی های تکنولوژیکی

در اصل، AD یک مخزن مرتب داده است که یک راه نسبتا راحت برای دسترسی به اطلاعات در مورد انواع اشیاء شبکه فراهم می کند. این همچنین به برنامه ها و کاربران کمک زیادی می کند تا این اشیاء را پیدا کنند.

AD از یک فضای نام توزیع شده یا DNS (سیستم نام دامنه) برای تعیین مکان استفاده می کند. برای کار با پایگاه داده، AD دارای مجموعه ای از نرم افزارهای ویژه و همچنین ابزارهایی است که برای برنامه نویسی کاربردی طراحی شده اند.

حتی با ساختار ناهمگن سیستم‌ها در شبکه، AD امکان ورود به سیستم را از طریق یک پروتکل ساده‌شده مربوط به سرویس دایرکتوری LDAP می‌دهد.

این سیستم خوب است زیرا مقیاس پذیر است و به راحتی قابل گسترش است. اکتیو دایرکتوری شمای خود یا مجموعه ای از کلاس های نمونه یک شی و ویژگی های آن را مستقیماً در دایرکتوری ذخیره می کند. بنابراین، این طرح بر توانایی ایجاد تغییرات در طرح به صورت پویا دلالت دارد.

یکی از ویژگی های مهم AD تحمل خطا و همچنین وجود یک پایگاه داده توزیع شده است. سرویس دایرکتوری می تواند چندین یا یک دامنه را به طور همزمان پوشش دهد.

قابل توجه عملکرد تفویض است، یعنی ارائه حقوق اداری از مدیر به گروه ها و کاربران فردی در درختان و کانتینرها و همچنین امکان ارث بردن.

سرویس دایرکتوری AD به شما این امکان را می دهد که به سادگی و به سرعت شبکه های باکیفیت و قابل اعتمادی را که می توانند مطابق با طیف گسترده ای از نیازهای فردی ساخته شوند، مستقر کنید.

فناوری هایی با استفاده از eDirectory

حتی قبل از ظهور MS Active Directory، روش های دیگر مدیریت پایگاه داده به طور فعال مورد استفاده قرار می گرفت.

بنابراین شایان ذکر است که سرویس Bindery از Novell که یک پایگاه داده همگن است. در چنین پایگاه داده ای، برخی از رکوردها هیچ رابطه آشکاری با رکوردهای دیگر ندارند. این پایگاه داده در درجه اول بر روی کار با سرور متمرکز است. این بدان معنی است که در این مورد هر سرور با یک بایندر منحصر به فرد حاوی حقوق دسترسی و تنظیمات اشیاء شبکه ارائه می شود. این گزینهمدیریت پایگاه داده فرض می کند که منابع شبکه به عنوان اشیایی در نظر گرفته می شوند که ارتباط مستقیمی با دایرکتوری سرور ریشه دارند.

تشکیل بایندر بر اساس اجزای زیر است:

خواص - ویژگی های مشخصهبرای هر شیء در بایندر (آدرس نوع کار اینترنتیعوامل محدود کننده و رمز عبور)؛

اشیاء - اجزای فیزیکی و منطقی شبکه که می توان نام هایی را به آنها اختصاص داد (سرورهای فایل، گروه های کاربر، کاربران).

ویژگی های Infoset اشکالی از داده های اطلاعاتی هستند که در یک کلاسور (اعداد، جداول، متن، زمان، تاریخ، آدرس شبکه و غیره) ذخیره می شوند.

هنگامی که NetWare4xx متولد شد، ناول همچنین یک سرویس دایرکتوری جدید به نام eDirectory را به دنیا معرفی کرد که در این نسخه NW در ابتدا NDS نام داشت. از نسخه 6.x، به عنوان eDirectory شناخته شده است.

در چارچوب این سرویس و همچنین در اکتیو دایرکتوری، پایگاه داده ای بر روی آن پیاده سازی شد اصل سلسله مراتبی. این امکان را برای برخی از اشیاء شبکه با دیگران فراهم می کند.

توانایی حذف نیاز به تبعیت از نظم سلسله مراتبی یکی از مزایای قابل توجه است این تصمیم. در برخی از نواحی درخت، ممکن است از لبه‌بندی استفاده شود، که طبیعتاً بسیاری آن را راه‌حل بسیار مناسبی می‌دانند.

همچنین شایان ذکر است که سرور eDirectory می تواند روی پلتفرم هایی که با NetWare متفاوت هستند نیز کار کند.

از بسیاری جهات، قابلیت های این راه حل با قابلیت های مشابه ارائه شده در MS Active Directory مطابقت دارد. به عنوان مثال، با استفاده از eDirectory می توانید آن را تکرار کنید حالت خودکارو نیز ارث و تفویض.

مشکل اصلی در روند تنظیمات شبکههنگامی که eDirectory بر روی شبکه نصب می شود، لازم است متخصصانی انتخاب شوند که باید مهارت های مناسب برای کار با این راه حل را داشته باشند.

می توان در مورد مزایا و معایب لینوکس و منبع باز به طور کلی بحث کرد، اما نمی توان اعتراف کرد که در برخی زمینه ها سیستم عامل باز به موفقیت های بدون شک دست یافته است. به هر حال، اینها شامل بازار سرور است، جایی که محبوبیت لینوکس سال به سال در حال افزایش است.

داده های IDC برای سه ماهه چهارم سال 2012 نشان می دهد که با رشد کلی بازار سرور به میزان 3.1 درصد (در مقایسه با سال قبل)، فروش تجهیزات با لینوکس 12.7 درصد، با ویندوز - 3.2 درصد و با یونیکس - افزایش یافته است. 24.1 درصد کاهش داشته است. البته، از اینجا به راحتی می توان فهمید که لینوکس هنوز جانشین یونیکس است، نه ویندوز، اما در هر صورت، سهم بازار 20.4٪ در حال حاضر بسیار قابل توجه است.

با این حال، سرورها یک مفهوم گسترده هستند. IDC معتقد است که محبوبیت لینوکس در درجه اول توسط رایانش ابری و با کارایی بالا انجام می شود. این شرکت تحلیلگر توسط بنیاد لینوکس نیز تکرار می‌شود، که ادعا می‌کند 76 درصد از شرکت‌های بزرگ مورد بررسی از لینوکس برای ساختن «ابرها» استفاده می‌کنند و 74 درصد برای حفظ یا حتی افزایش حضور یک سیستم‌عامل باز برنامه‌ریزی می‌کنند.

لینوکس همچنین به طور گسترده برای استقرار سرورهای وب و سرویس‌های مختلف اینترنتی داخلی مانند پروکسی، ایمیل و غیره استفاده می‌شود. این مورد اخیراً در بین کسب‌وکارهای کوچک، از جمله کسب‌وکارهای اوکراینی، بسیار محبوب بوده است، زیرا به عنوان مثال، امکان صرفه‌جویی قابل‌توجه در مجوزها و نگهداری را فراهم می‌کند. ، به یک ارائه دهنده اینترنت برون سپاری کنید. استدلال های اصلی در مزایای لینوکسپاسخ دهندگان به نظرسنجی بنیاد لینوکس به وسعت قابلیت ها (75%)، هزینه کل مالکیت پایین (71%) و امنیت بالا (69%) اشاره کردند.

لینوکس همچنین می تواند برای ایجاد زیرساخت فناوری اطلاعات به لطف پیاده سازی های مستقل و Samba استفاده شود. با این حال، اگر در نظر بگیریم که اکثر محیط‌های کاری در سازمان‌ها هنوز مبتنی بر ویندوز هستند و بعید است که این وضعیت به طور اساسی تغییر کند، باید اعتراف کنیم که لینوکس در این ظرفیت نسبتاً کم رنگ به نظر می‌رسد. با این حال، اخیراً در اینجا نیز پیشرفت هایی حاصل شده است.

سامبا 4 که در پایان سال گذشته منتشر شد، یک آنالوگ تقریبا کامل از Active Directory (AD)، از جمله یک کنترل کننده دامنه را پیاده سازی می کند. سرویس DNS، احراز هویت Kerberos، خط مشی های گروه. طبیعتاً این اولین نسخه است که حاوی خطاها و کاستی هایی است که اصلاح آن با این حال در حال انجام است. علاوه بر این، سامبا 4 هنوز نمی تواند ساختارها و سلسله مراتب پیچیده دامنه ایجاد کند و روابط اعتماد ایجاد کند، که کاربرد آن را در سازمان های بزرگ محدود می کند.

بنابراین، در حال حاضر، واقعی ترین کاربردهای سامبا 4، ساخت زیرساخت های آزمایشی و کلاس های آموزشی و همچنین پیاده سازی در مشاغل کوچک است. با این حال، ناظران غربی در مورد دومی کاملاً شک دارند: آیا پس انداز بر خطرات آن بیشتر خواهد بود؟ کار ناپایدارزیر ساخت؟ با این حال، در واقعیت‌های اوکراینی، نظام ارزشی تا حدودی متفاوت است و استدلال‌های مالی و حقوقی می‌توانند بر همه استدلال‌های دیگر برتری داشته باشند.

علاوه بر این، در بسیاری از موارد انتخاب واقعی چندان عالی نیست. مایکروسافت ویژه ارائه می دهد نسخه ویندوزسرور 2012 برای مشاغل کوچک - ملزومات و پایه. اولی با قیمت 500 دلار برای 25 کاربر بسیار جالب است، دومی برای نصب OEM ارائه شده و آماده پشتیبانی از 15 کاربر است. اما مشکل این است که برای تعداد بیشتر نه تنها باید یک CAL اضافی خریداری کنید، بلکه مجوز سرور را نیز به استاندارد تغییر دهید. سامبا 4 چنین محدودیتی ندارد و می توان آن را به هر سطح مورد نیاز تغییر داد. احتمالاً یک مدل OEM نیز برای توزیع آن مناسب تر خواهد بود و سازگاری کامل با تجهیزات و عدم وجود شگفتی را حداقل در ابتدا تضمین می کند.

در همین حال، پیاده سازی سامبا 4 خود یک موضوع کاملاً ساده است. به طور طبیعی، بهتر است با آزمایش برخی توزیع های تخصصی شروع کنید. این، برای مثال، توسط SerNet، یکپارچه ساز آلمانی و شرکت کننده در پروژه Samba - SerNet Samba 4 Appliance ارائه شده است. علاوه بر این، می‌توانید نرم‌افزار همکاری Zafara را روی آن مستقر کنید؛ این نرم‌افزار شامل یک اسکریپت آماده برای تنظیم طرح AD است.

Novell/SUSE دستگاه عالی Samba4 خود را به شکل زیر ارائه می دهد: تصاویر بوت، و قبلاً مستقر شده است دیسک های مجازیبرای همه سیستم های محبوبمجازی سازی این توزیع به صورت دوره ای به دنبال انتشار اصلاحات جدید برای Samba 4 به روز می شود.

در واقع، مقداردهی اولیه AD شامل استقرار یک کیت توزیع یا ایجاد و راه‌اندازی مربوطه است ماشین مجازیو اجرای اسکریپت آماده dcpromo که چند پارامتر (نام دامنه، آدرس IP و غیره) را درخواست می کند.

از آنجایی که Samba 4 بر اساس نسخه رسمی خریداری شده ایجاد شده است، سازگاری آن قول می دهد که بسیار بالا باشد. در هر صورت، می توانید از تمام ابزارهای اداری استاندارد مایکروسافت استفاده کنید که در مورد Excellent Samba4 Appliance حتی از طریق وب سرور داخلی نیز قابل دسترسی هستند.

از آنجایی که Samba 4 تمام رویه های RPC لازم برای AD را اجرا می کند، می توانید از ابزارهای کمکی نیز استفاده کنید خط فرمانو اسکریپت های PowerShell. جامعه لینوکس نیز در حال توسعه ابزارهای خود، چه گرافیکی و چه اسکریپتی است، اما سطح آمادگی آنها هنوز رضایت بخش نیست.

هنگام استفاده از ابزارهای مایکروسافت، مدیریت بیشتر دامنه برای هر کسی که حتی به صورت سطحی با AD در ویندوز سرور آشنا باشد کاملاً آشنا است. افزودن حساب‌ها، ایجاد گروه‌ها و تعیین قدرت‌ها کاملاً شفاف انجام می‌شود.

یکی از با ارزش ترین ویژگی های Samba 4 پشتیبانی آن از سیاست های گروه، که نشان دهنده یک راحت و درمان موثرمدیریت ایستگاه های کاری در ویندوز اساساً، این اولین قدم به سمت زیرساخت مدیریت شده است و به لطف Samba 4 این کار حتی آسان تر شده است.

ساده ترین مثال فعال کردن در همه مکان ها است حالت مورد نظر به روز رسانی ویندوزو کاربر را از تغییر آن مسدود کنید. مشکل دقیقاً به همین صورت در ویندوز سرور و سامبا 4 حل می شود:

نتیجه پس از راه اندازی مجدد ایستگاه کاری یا اجبار به روز رسانی خط مشی گروه کاملاً قابل پیش بینی است:

بنابراین، Samba 4 به شما این امکان را می دهد که یک دامنه ساده AD را در لینوکس سازماندهی کنید بدون اینکه واقعاً به دانش عمیق خود لینوکس نیاز داشته باشید. علاوه بر این، انعطاف‌پذیری یک سیستم‌عامل باز امکان ایجاد توزیع‌های تک‌عملکردی فشرده با Samba 4 را فراهم می‌کند که به طور قابل اعتماد در هر دو محیط فیزیکی و مجازی کار می‌کنند. پایداری و مقیاس پذیری خود سامبا 4 هنوز مورد سوال است، اما به نظر می رسد تیم توسعه در همین جا متوقف نمی شود.